[分享] 運用 ISO/IEC 38507 強化組織的AI治理

隨著人工智慧 (AI) 的使用愈來愈普及到日常工作之中，同時也為組織帶來了更多的影響與挑戰，因此，建立一套明確的AI治理架構與監督管理機制，已是組織高層必須要面對的重要課題。

對組織而言，所謂的 AI 治理是指需要建立有效的指導與管理體系，這涉及了組織內部必須建立一個「治理機構 (Governing Body)」，針對組織所具有的 AI 角色來制訂明確的政策，並且清楚定義與「管理層 (Managers)」之間的職責劃分和互動關係。

可依循的AI治理國際標準

針對組織的 AI 治理需求，可以參考由國際標準組織所發布的 ISO/IEC 38507 標準 (Governance of implications of the use of artificial intelligence by organizations)，它引用了來自於 ISO/IEC 38500 的 IT 治理核心模型 – EDM (Evaluate, Direct, Monitor)，同樣可以將它運用在 AI 治理的情境之中。

在 ISO/IEC 38507 標準中提到需要建立的治理機構，它是為組織設定營運宗旨，決定策略目標，並且要為整個組織負起問責性 (Accountability) 的最高決策與監督組織。治理機構需要考量來自於組織內外的各項議題，包括了內部的營運壓力與業務需求，以及了解外部的主管機關、法規義務及關注方的期望等，這些可以進一步聚焦在 AI 特性與差異 (AI differences)、市場需求 (Market needs) 及利害關係人期望 (Stakeholder expectations) 等三個層面。

          Source: Governance implications of the use of AI 
                       (ISO/IEC 38507:2022)

運用EDM模型來達成治理任務

ISO/IEC 38507 建議組織可以運用 EDM 模型，針對使用 AI 所面臨的五大關鍵政策領域，將治理機構的任務轉化成為實際可行的營運計畫，並且交付給管理層人員來落實完成。所謂的 EDM 模型，它是治理機構主要的核心任務，可用來持續評估 AI 治理的現況，藉由 EDM 所評估的結果，也可以反映出組織的 AI 治理成熟度，鼓勵組織可以定期的安排與實施。

針對 EDM 模型的概念，簡要說明如下：

1. 評估 (Evaluate)：治理機構需要評估目前和未來 AI 可能的使用情況，包括了 AI 為組織所帶來的商業機會、技術變革與潛在風險，以及審查管理層對於 AI 的計畫與使用安排。
2. 指導 (Direct)：依據評估的結果，治理機構要制訂 AI 相關的策略、政策和目標，確立可接受的行為準則與風險胃納 (Risk appetite) 之後，再交給管理層來執行，並且要確保這些與組織本身的願景、文化和法規要求一致。
3. 監督 (Monitor)：治理機構要建立使用 AI 的監控與量測機制，確保 AI 系統遵循了組織的政策要求，並且可以達成既定的績效，也讓組織有能力及時發現 AI 是否發生不符合預期的情況。

AI治理的五大關鍵政策領域

對組織的治理機構來說，需要涵蓋哪些政策層面，才能夠滿足 AI 治理的要求呢？ISO/IEC 38507 提到了以下五個具體的關鍵政策領域，每一個都需要經歷完整的 EDM 過程，才能夠展現組織的 AI 使用活動被有效地治理，這也是治理機構主要的任務工作。

• 決策制定 (Decision making)：由於 AI 可以高度的自動化，因此治理機構必須要有能力確保人類對於 AI 保有適當的監督與控制權，並且在必要的時候可以介入，甚至可以強制中斷 AI 系統的運行與決策。
• 資料使用 (Data use)：訓練資料的品質高度影響了 AI 系統的表現與結果，治理機構必須要求組織在資料生命週期的各個階段，建立資料保護、隱私合規，以及防止資料偏見的機制。
• 文化與價值觀 (Culture and values)：由於 AI 系統本身沒有情感、倫理和道德觀，因此治理機構必須要遵循「以人為本」的精神，確保 AI 的使用與運作，還有利用 AI 系統所產出的結果，都要符合組織的文化、社會期待、人權及永續發展的價值觀。
• 合規性 (Compliance)：AI 的運作對於人類社會和法規帶來了全新的挑戰，治理機構需要確保現有的管理制度，可以因應目前和未來可能會有的 AI 使用活動，使 AI 系統生命週期各個階段和過程，能夠符合組織所適用的法令法規要求。
• 風險 (Risk)：AI 帶來了過去在使用 IT 系統過程中，許多未曾面臨的風險，像是缺乏透明度和可解釋性、AI 幻覺與偏見等，因此治理機構需要將 AI 使用納入組織整體的風險管理之中，包括決定對 AI 的風險胃納，實施 AI 風險評鑑與影響評鑑，進行風險處理以將風險控制在組織可以接受的範圍。

依據 ISO/IEC 38507 的規範，組織的治理機構可以運用 EDM 模型，定期針對以上五個關鍵政策領域逐一進行評估，即可建立一個動態且持續的治理循環。

      （本圖由 Gemini 生成)

組織中的AI治理與管理職責

在本文一開始提到，組織內部必須建立一個治理機構，針對組織的 AI 角色來制訂政策，並且清楚定義與管理層之間的職責。

從職責的角度而言，治理機構主要負責設定 AI 政策和目標，給予方向和明確的指導，並且承擔最終的責任，而管理層也要負責建立和維護一個 AI 系統的管理體系，像是可以參考 ISO/IEC 42001 標準建立人工智慧管理系統 (AIMS)，透過它將治理機構的評估、指導與監督要求，落實到與 AI 有關的活動與流程之中。

換句話說，在 AI 治理的過程中，治理 (Governance) 與管理 (Management) 是兩個角色不同但必須緊密協作的實體，唯有透過明確的角色分工與職責，雙方保持緊密的互動與合作關係，才能夠達成組織 AI 治理的目標。

[分享] 強化零信任知識與專業能力

在台灣，隨著金管會在2022年12月發布「金融資安行動方案 2.0」，並且持續推動零信任架構（Zero Trust Architecture, ZTA），對於金融行業來說，針對高風險的作業活動，建立安全有效的資源存取和保護機制，已經是不可或缺的工作之一，如果您想要強化有關零信任的專業知識與能力，本篇文章提供了相關學習的資源與參考資料。

零信任（Zero Trust）這個名詞出現在2010年，由任職於知名研究調查機構 Forrester 的 John Kindervag 所提出，他認為所有的網路流量都是不可信任的，必須在每個步驟中針對資料或資源的存取需求進行驗證，而它的精神也就是最廣為人知的一句話：「永不信任，始終驗證 (Never trust, always verify)」。

隨著零信任技術發展的不斷演進，加上行動科技和雲端運算的運用也愈來愈普及，在2013年雲端安全聯盟（CSA）提出了軟體定義邊界（Software-Defined Perimeter, SDP）的概念，藉由建立一個無形邊界的安全架構，呼應了零信任精神來保護組織的關鍵資產與資源。在2020年，美國國家標準與技術研究院（NIST）亦發布了「NIST SP 800-207 Zero Trust Architecture」，正式建立了構成零信任架構的核心元件，也成為了聯邦機構或任何組織，想要強化網路安全的重要參考資訊。

依據 NIST 的定義，零信任不是指單一架構，而是一組整合工作流程、系統設計和運作的指導原則，可用來強化各種不同類型或敏感等級資料的安全現況。CSA 則強調了在實施零信任架構時，每個防護面專案需要執行的五個關鍵步驟：定義保護層面、對映資料傳輸流程、建構零信任架構、建立零信任政策，以及持續監控和維護，這些步驟提供了一種結構化的方法來增強網路安全，並確保組織能夠將現有的安全做法成功轉換到零信任模式。

如何強化零信任知識和能力

對於資訊或資安人員來說，若想要強化有關零信任的專業知識與能力，個人有以下兩個「不用花錢」的方法分享給大家，如果在閱讀了文件之後，對於零信任的規劃和實施有一些學習心得，還可以進一步選擇「花錢」參加考試來取得能力證書，這個資訊也一併提供給大家參考。

1. 免費下載兩份零信任的重要參考指南

「NIST SP 800-207 Zero Trust Architecture」- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

「CSA Software-Defined Perimeter (SDP) Specification v2.0」 - https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2

2. 下載「CCZT Prep Kit」(需注冊CSA會員-免費)，裡面提供了通過 CCZT 考試所需研讀的教材，以及其他和零信任有關的補充知識文件。

https://cloudsecurityalliance.org/artifacts/cczt-prep-kit

關於零信任能力證書 (CCZT)

零信任能力證書 (Certificate of Competence in Zero Trust, CCZT) 是由雲端安全聯盟 (CSA) 在2023年11月所推出的個人能力證明，如果學習了以上的零信任知識，想進一步取得專業能力的證明，可以藉由參加線上考試來獲得證書，以下相關資訊彙整自 CSA 官網的說明。

考試的七大知識領域

1. Zero Trust and Zero Trust Architecture general concepts and definitions (零信任和零信任架構的一般概念和定義)

2. Zero Trust goals, objectives, and benefits (零信任的目標、目的與優勢)

3. Zero Trust Architecture logical model and key components (零信任架構的邏輯模型與關鍵元件)

4. Software Defined Perimeter (軟體定義邊界)

5. Zero Trust Strategy (零信任策略)

6. Zero Trust Planning (零信任規劃)

7. Zero Trust Implementation (零信任實施)

研讀考試的教材

在 CSA 提供的「CCZT Prep Kit」中，包括了以下相關參考資料:

• 5 Study Guides (*5 份學習指南 - 涵蓋七大知識領域，這是通過考試的必讀文件!)

• Knowledge Guide (知識指南 - 針對考試的說明介紹)

• CCZT Curriculum (課程大綱)

• Recommended Readings (推薦閱讀材料 - 有空再看)

• Authoritative Sources (官方資源)

• Mapping ZTA Components to SDP (NIST零信任架構和CSA SDP的對照說明)

• FAQ (考試常見問題)

• Infographic - How to Earn your CCZT (說明如何取得 CCZT 認證)

• 50 Sample Questions (*50 題範例題 - 考前必讀!)

• Overview Presentation (考試說明簡報)

考試方式和費用

CCZT 考試為開卷 (open book) 的線上考試 (使用自己的電腦，時間可自由選擇進行)，考試過程包含了60道選擇題 (單選)，考試時間為120分鐘，最低及格分數為80%。考試的費用為175美元，包含了兩次考試機會，有效期限為兩年。

最後，在完成考題作答並送出之後，即可馬上得知是否順利通過，考試通過之後即可獲得一份電子證書和以下的個人標章 (證明錢沒有白花~~)。

Certificate of Competence in Zero Trust (CCZT) for Jack Hua

[分享] 新版ISO 27701之改變和轉版規劃

新版ISO 27701標準已於2025-10-14發布，正式成為可獨立實施和驗證的隱私資訊管理系統標準，新版標準採用了調和結構 (Harmonized Structure)，包括建立管理體系的本文4~10章，內容架構採用相同標題和文字，方便組織和其他標準進行整合。

在新版標準的附錄A，則針對「PII控制者 (A.1)」和「PII處理者 (A.2)」兩個角色，說明它的控制目標和控制措施。另外，也新增了兩個角色在資安方面需考量的控制措施 (A.3)，並且在附錄B提供了控制措施實作的參考指引，以下列舉新版標準主要的調整和變動。

管理體系的調整

- 原本文5.2~5.8調整為4~10，建立完整的高階管理架構，讓組織更容易和其他標準對齊。

- 原本文6~8調整為新版的附錄B實作指引。

- 原舊版中的附錄A和B，在新版中調整為A.1和A.2，並新增A.3 資安控制措施 (A.3.3~A.3.31)。

控制措施的調整

- 原附錄A.7.2~A.7.5針對「PII控制者」的控制措施，新版調整為附錄A.1.2~A.1.5，包括四個控制領域：蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私及預設保護隱私，以及PII 共享、傳輸及揭露，一共有31個控制措施。

- 原附錄B.8.2~B.8.5針對「PII處理者」的控制措施，新版調整為附錄A.2.2~A.2.5，包括四個控制領域：蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私，以及預設保護隱私及PII 共享、傳輸及揭露，一共有18個控制措施。

- 取消原條款6 ISO 27002 資安控制措施指引，新增附錄A.3「PII控制者和PII處理者的安全事項」，挑選了包括A.3.3~A.3.31共29個資訊安全控制措施，同時也提供了附錄B.3 「PII控制者和PII處理者的實作指引」作為參考。

轉版規劃與準備

目前各家驗證公司還沒有發布轉版的時程 (個人預估最晚在2026 Q3)，但對於已持有舊版證書，準備要進行轉版的組織而言，可以先透過以下步驟進行規劃與準備：

1. 進行差異分析：可對照舊版和新版的要求事項，評估目前的差異，包括本文新增的條款6.3變更之規劃、條款6.1.3要求建立資訊安全計畫 (information security programme)，以及附錄A.3的29個資安控制措施。

2. 制訂轉版計畫：包括資源的準備，轉版工作的職責分配，本文4~10章管理體系各項流程實施完成時間的安排。

3. 實施新版要求：修訂管理制度文件，實作隱私控制措施，包括隱私風險評鑑和隱私風險處理、更新適用性聲明 (對應新版條款) 及隱私目標規劃與量測等，並且完成內部稽核和管理審查。

4. 申請轉版驗證：跟驗證公司確認轉版稽核時間，安排受稽人員和場地設施，以便順利取得新版證書。

[分享] ISC2 人工智慧策略建構證書

長久以來，ISC2 的 CISSP 證照一直是資安相關人員學習和追求的目標，隨著人工智慧的應用愈來愈受到重視，雖然 ISC2 目前還沒有針對AI推出個人證照，但為了強化資安相關人員對於AI的專業知識，因此在今年推出了「人工智慧策略建構證書 (Building AI Strategy Certificate)」，藉由線上完成與AI有關的課程，協助資安相關人員獲得為組織建立AI的管理基礎知識，以及了解合乎道德與安全考量的人工智慧應用方式。

課程簡介

人工智慧策略建構證書一共包括了以下六門課程主題，參與學習的夥伴們，在完成每堂課程之後，只要在課程評估測驗中，答對70%的考題 (選擇題)，就可以取得單堂課程的證書。若是完成全部的六門課程和評估測驗，即可獲得「建立人工智慧策略證書」的 Credly 數位徽章。

課程主題：

• 人工智慧在網路安全中的應用 (AI for Cybersecurity): 了解人工智慧在網路安全中的作用，以及傳統安全方法和人工智慧專用安全方法對安全風險的影響。
• 人工智慧安全 (AI Security): 探索在保持關鍵的人工監督的同時，可優化 AI 驅動的安全議題，以管理過度自信的情況。
• 與全球人工智慧法規保持一致 (Aligning with Global AI Regulations): 了解將人工智慧安全框架與整體網路安全原則保持一致的複雜性，比較與人工智慧相關的特定安全框架和標準以及支撐安全人工智慧實踐的原則。
• 人工智慧的基礎 (Foundations of AI): 學習人工智慧安全基礎知識，藉由熟悉人工智慧的相關定義，以了解人工智慧應用和實施所帶來的影響。
• 規劃具有安全設計的人工智慧 (Planning for Secure by Design AI): 如何從策略角度將安全性融入人工智慧的營運之中，了解安全的人工智慧的實施要求，以及如何將傳統網路安全原則與人工智慧治理框架進行整合。
• 不斷發展的網路安全人才隊伍 (The Evolving Cybersecurity Workforce): 透過探討人工智慧對網路安全人才隊伍的影響，並分析有關領導力的考量與策略。

授課方式：

• 方式：線上隨選學習，可獲得 CPE 16 學分 (16 小時)
• 語言：英語
• 教材：文字、影片、案例說明
• 費用：640美元 (ISC2會員可打8折為512美元)

以上是和課程有關的資訊 (內容說明來自 ISC2網頁)，提供給有興趣的夥伴參考，就我個人參與的經驗，內容沒有太過技術的內容，適合初階或想了解AI管理架構的夥伴來進修學習。

[分享] 通過 Trusted AI Safety Expert (TAISE) 考試

隨著人工智慧的議題持續在全球發燒，雲端安全聯盟 (CSA) 在2025年10月底也正式推出了「可信賴人工智慧安全專家 (Trusted AI Safety Expert, TAISE)」的認證計畫，這是雲端安全聯盟與美國東北大學 (Northeastern University) 共同合作所推出的一個針對人工智慧安全的訓練與認證，可以幫助對人工智慧有興趣的人員，藉由參與完整的培訓課程，獲得跟人工智慧有關的專業知識。

課程內容

TAISE的課程，目前是採取線上自主學習的方式，內容包括了以下10個單元模組，並且提供了免費下載的「TAISE Prep Kit」，讓有意想取得這個認證的人員，可以清楚的掌握課程的架構與學習方向。

Module 1: Introduction to AI (人工智慧導論)

Module 2: Generative AI Architecture and Design (生成式人工智慧架構與設計)

Module 3: AI Use Cases: GenAI, Multimodal, and AI Agents (人工智慧應用案例：GenAI、多模態和人工智慧代理)

Module 4: Fairness, Accountability, and Explainability in AI (公平性、問責和可解釋性)

Module 5: AI Model Lifecycle and Threat Taxonomy (人工智慧模型生命週期與威脅分類)

Module 6: Model Governance, Risk Management, and Compliance (模型治理、風險管理與合規性)

Module 7: Introduction to AI Safety and Security (人工智慧安全導論)

Module 8: Cloud and AI Security (雲端和人工智慧安全)

Module 9: Data Security & Privacy in AI Systems (人工智慧系統中的資料安全與隱私)

Module 10: Continuous Learning and Adaptation (持續學習與適應)

就我個人的上課體驗，覺得課程內容相當扎實，可能是與學校合作的關係，教材的品質非常好，搭配適當的影片解說和補充的參考資料，可以對人工智慧的發展歷史、機器學習的技術、人工智慧模型生命週期、人工智慧的安保與安全，以及模型治理和法規，能夠獲得全盤的了解。

但對初學者而言，由於內容橫跨了包括人文、心理、數學、資訊及法律學科，資訊量有點大，可能需要一點時間消化和吸收，未來若CSA有提供真人線上和線下進行的課程，可能會更有助於討論和學習。

關於考試

TAISE考試同樣秉持著CSA以往為了確保過程嚴謹又容易參加的精神，採取了以下的方式進行 (參考自CSA官網) ，只是這次比較特別的是課程與考試費用綁在一起，也就是必須同時購買線上課程才能獲得考試資格，目的應該是為了讓考生可以接受完整的課程訓練。

形式：線上、開卷 (Open book)

題目： 60題選擇題 (單選)

時間： 120分鐘

及格分數： 80%

可考試次數： 2 次 (可補考1次，有效期限 2 年)

費用：795美元 (課程+考試)

就我個人的考試經驗，考題相當有難度 (不像範例試題直覺簡單)，英文試題雖然不長但也很折磨人，需要清楚了解AI相關名詞的定義，並且配合課程所學習的知識，才能做出正確的判斷，憑自己的力量考過會是很有成就感的，此課程對有意想在AI領域發展的夥伴們也會是一個好選擇。

我的證書 badge: https://www.credly.com/badges/dc8c713c-61ae-4a70-bb79-fd03f45becde